JotTools .
Português
English Español Türkçe Français Italiano Português
Todas as ferramentas

Decodificador de JWT

Decodificador de JWT online e grátis. Cole um JSON Web Token e leia na hora o cabeçalho e o payload como JSON limpo. Roda no navegador, sem upload.

O que o Decodificador de JWT faz

Esta ferramenta pega um JSON Web Token e o divide na hora em partes legíveis para você ver o que realmente está dentro. Cole um token e ela mostra o cabeçalho decodificado (o algoritmo e o tipo de token) e o payload (as claims, como assunto, emissor, expiração e quaisquer campos personalizados), cada um formatado como JSON limpo e indentado. É prático para desenvolvedores de back-end e front-end, testadores de QA e qualquer pessoa depurando um fluxo de autenticação que precise confirmar o que um token carrega antes de confiar nele.

Uma observação sobre o escopo: este decodificador lê um token, ele não verifica a assinatura. Decodificar não é o mesmo que validar, então nunca trate um payload decodificado como prova de que o token é genuíno. Use para inspecionar e investigar, não para autenticar.

Como usar o Decodificador de JWT

  1. Copie seu JWT do aplicativo, dos logs, do armazenamento do navegador ou de uma resposta de API.
  2. Cole na caixa de Entrada. Um token parece três blocos base64url unidos por pontos, na forma cabeçalho ponto payload ponto assinatura.
  3. O resultado decodificado aparece na caixa de Saída imediatamente, com o bloco do cabeçalho e o bloco do payload em JSON legível. Não há botão para apertar.
  4. Clique em Copiar para pegar a saída decodificada para um chamado, uma anotação ou um comentário no código.

Se você vir um erro sobre as três seções esperadas, o token está incompleto ou você colou apenas parte dele. Garanta que as três partes separadas por pontos vieram junto.

Por que decodificar JWTs aqui

Tudo roda inteiramente no seu navegador. O token é decodificado com JavaScript local e nunca é enviado a lugar nenhum, o que importa muito quando tokens podem conter dados pessoais ou conceder acesso. Isso significa privacidade por padrão, instantâneo, gratuito e sem cadastro. A saída é formatada para que timestamps e claims sejam fáceis de ler. Veja também outras ferramentas de desenvolvimento.

Dica: os campos exp e iat são timestamps Unix em segundos. Multiplique por 1000 para lê-los como uma data normal na maioria das linguagens, uma forma rápida de checar se um token já expirou.

Perguntas frequentes

O decodificador verifica a assinatura do token?
Não. Esta ferramenta decodifica o cabeçalho e o payload para que você leia as claims, mas não verifica a assinatura. Decodificar não é validar, então não trate um payload decodificado como prova de que o token é autêntico. Verifique a assinatura no seu servidor com a chave de assinatura.
Meu token é enviado para um servidor quando eu decodifico?
Não. A decodificação acontece inteiramente no seu navegador com JavaScript local. O token nunca sai do dispositivo, o que é importante porque JWTs podem carregar dados pessoais ou direitos de acesso.
Por que recebo um erro de JWT inválido?
Um JWT precisa ter três seções base64url unidas por pontos, na forma cabeçalho ponto payload ponto assinatura. Se você colou apenas parte do token ou uma string malformada, o decodificador não encontra o cabeçalho e o payload. Cole o token completo e tente de novo.
Como leio os campos exp e iat do payload?
São timestamps Unix medidos em segundos. Multiplique o valor por 1000 para convertê-lo em milissegundos e formate como data no seu idioma para conferir quando o token foi emitido ou quando expira.